1. 首页
  2. 问题列表
  3. 无法使用Owin注销Web Api
提问者:小点点

无法使用Owin注销Web Api


我已经使用owin登录,但无法退出。
在开始时:

 
public void ConfigureOAuth(IAppBuilder app)
        {
   OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions()
            {
                AllowInsecureHttp = true,
                TokenEndpointPath = new PathString("/token"),
                AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(20),
                Provider = new AuthorizationServerProvider(),
                AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie               
            };
            app.UseOAuthBearerTokens(OAuthServerOptions);
            app.UseCookieAuthentication(new CookieAuthenticationOptions());
        }

在AuthorizationServerProvider中:

 public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
        {
            context.Validated();
            return Task.FromResult(null);
        }

        public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
        {
            context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*"});
            using (demoEntities _repo = new demoEntities())
            {
                if (!_repo.users.Where(x => x.username == context.UserName && x.pass == context.Password).Any())
                {
                    context.SetError("invalid_grant", "wrong.");
                    //context.Rejected();
                    return;
                }
            }
            //context.Request.
            var identity = new ClaimsIdentity(context.Options.AuthenticationType);
            identity.AddClaim(new Claim("sub", context.UserName));
            identity.AddClaim(new Claim("role", "user"));
            identity.AddClaim(new Claim(ClaimTypes.Name, context.UserName));
            if (context.Request.Path.Value != "/api/apidemo/logout")
            {
                context.Request.Context.Authentication.SignIn(identity);
            }
            else
            {
                context.Request.Context.Authentication.SignOut();
            }

            context.Validated(identity);
        }


在ApiController中:

  [HttpGet]
    [ActionName("logout")]
    public IHttpActionResult logout()
    {
        Request.GetOwinContext().Authentication.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
        this.Authentication.SignOut(DefaultAuthenticationTypes.ApplicationCookie);
        return Ok();
    }

我调用注销然后使用旧的令牌,但它仍然可以使用。


共1个答案

匿名用户

Owin不是这样工作的。没有注销。您获得一个令牌,该令牌在设定的时间内有效。令牌将在到期前有效。

您可以自己添加一个额外的层,基本上是在生成令牌时,将其与其到期数据和有效状态一起存储在某个地方。当您调用logout时,您将令牌更新为无效,然后当它被使用时,在它通过了owin检查后,您然后运行自己的检查并使其无效。

老实说,我不会为此烦恼。如果你走这条路线,这意味着你没有使用Owin来做它应该做的事情,那就是应用程序级身份验证,而不是用户身份验证。两者之间有很大的区别。

所以,我的建议是使用会员系统进行用户身份验证,并将所有权分开。如果你这样做,那么你实际上可以注销某人。

所以底线:owin代币在到期前是有效的。

相关问题



热门标签
Java JavaScript Python PHP C# Android Html jQuery C++ Css IOS MySQL NodeJS